Tag: vulnerabilidad (Page 1 of 6)

Venom: peligrosa vulnerabilidad en máquinas virtuales pone en riesgo a la nube

Logotipo de vulnerabilidad VENOM

Una mala noticia: una peligrosa vulnerabilidad en las plataformas de máquinas virtuales Xen, KVM y QEMU permite que un atacante pueda salirse del sistema invitado y tomar control total del sistema operativo anfitrión; se le ha puesto el nombre de Venom, por las siglas de Virtualized Environment Neglected Operations Manipulation o algo así como Manipulación de Operaciones Descuidadas en un Ambiente Virtualizado. Es una vulnerabilidad potencialmente peligrosa porque se usa bastante en la tan mentada nube hoy en día, en forma de contenedores para separar los datos de los distintos clientes de cada nube; entonces, si un atacante se puede escapar de una máquina virtual y tomar control de un servidor, técnicamente puede hacer lo que quiera con el mismo y con todas las máquinas virtuales que tenga éste. Hablando más a fondo sobre la falla, irónicamente está en un controlador virtual de disco flexible, y que como dije antes, afecta a Xen, KVM y QEMU; no afecta a VMWare, Microsoft Hyper-V y Bochs. Ya hay parches para Xen y QEMU, y aquellos que tengan servidores a su cargo deberían ver que se parchen inmediatamente, pues es una vulnerabilidad que existe desde 2004, y aunque no se sabe que se esté explotando activamente, ya se le compara con Heartbleed.

Por ahora la mayor amenaza es para aquellos que usan VPS (Virtual Private Server o Servidor Privado Virtual), en donde se permite poner varios sistemas operativos en un mismo servidor físico; si este es tu caso, fastidia a tu proveedor hasta que tenga bien parchado sus servers.

Enlaces

Nueva vulnerabilidad XSS en WordPress (de nuevo)

Eslabón roto de cadena

Otro día, otra vulnerabilidad en WordPress: de nuevo una vulnerabilidad XSS (cross-site scripting), y los culpables son JetPack (de nuevo), y el tema Twenty Fifteen. Entre ambos hay varios millones de instalaciones, así que hay un peligro potencial de ver sus blogs comprometidos. Al momento se sabe que se debe al uso de un paquete de WordPress llamado genericons, que usa un archivo inseguro que permite que deja abierto tu blog a ataques de tipo XSS; un atacante sólo tiene que engañarte o convencerte de que hagas clic en un link malicioso y listo, podrá tener control total de tu blog. A pesar de que WordPress ya parchó el tema y plugin en cuestión, parcharlo sólo requiere borrar el archivo “example.html” de cualquier instanaica de genericons que haya en tu instalación de WordPress. Muchos sitios de hosting ya implementan el parche, pero no está de más que revises que versiones tienes para verificar que todo ande en orden: las últimas versiones son WordPress 4.2.2 (ver cambios), JetPack 3.5.3 y Twenty Fifteen 1.2.

A estas horas tu blog ya debería estar actualizado automáticamente, pero por cualquier cosa, revisa tu sección de actualizaciones en tu panel, y de tener pendientes cualquiera de los tres (WordPress, JetPack o Twenty Fifteen), actualiza lo más pronto posible, pues ya están explotando esta vulnerabilidad.

WordPress 4.1.2 repara vulnerabilidad crítica XSS, actualiza ya

Logo de WordPress con letrero de 'Update'

Si tienes un blog montado sobre WordPress, vale la pena que actualices tan pronto como puedas al nuevo WordPress 4.1.2, el cual corrige varias vulnerabilidades (4 para ser exactos), una de alto riesgo, tres de medio y cuatro modificaciones sirven para endurecer la seguridad de WordPress. La vulnerabilidad de alto nivel es en realidad crítica, es de tipo cross-site-scripting y permite que un usuario anónimo pueda comprometer un sitio. Más aún, el día de ayer se supo que varios plugins de alto perfil contienen vulnerabilidades XSS; plugins como JetPack, WordPress SEO y Google Analytics (ambos de Yoast y muy usados), WPTouch, All-In-One SEO y otros más: como puedes ver, muchos plugins de primera línea. Vale la pena mencionar que estos errores vinieron justo de la documentación de dos funciones internas de WordPress. En fin, les aconsejo actualizar lo más pronto que puedan…y recuerden, cuando se trata de WordPress, estar al día es la mejor estrategia de seguridad.

Descubren nuevo lote de vulnerabilidades en OpenSSL, algunas que datan de 1998

Puerta trasera abierta...

Seis nuevas vulnerabilidades se han encontrado en OpenSSL, librería que todavía se está recuperando del desastre de HeartBleed; esta vez las vulnerabilidades son variadas, y permiten, por mencionar uno, un ataque del tipo “hombre en medio” que dan pie a que se pueda “escuchar” las comunicaciones encriptadas, así como también poder introducir malware en los sistemas comprometidos. Las versiones de OpenSSL afectadas son varias, que van desde la 0.9.8 hasta la 1.0.2-beta1. Un dato que llama la atención es que una de las vulnerabilidades descubiertas data de la primera versión de OpenSSL en 1998…es decir, hemos vivido 16 años con esos errores en el software. Quizás lo único positivo es que estas nuevas vulnerabilidades no son tan fáciles de explotar, a diferencia de HeartBleed. Lo que hay que hacer a la voz de ya es parchar sus servidores o cualquier otro software o hardware que haga uso de OpenSSL; en particular, los que usen la red Tor deberían actualizar su software pues son particularmente vulnerables a ataques del tipo “hombre en medio”. Reflexionando sobre los diversos problemas de seguridad que han habido respecto a OpenSSL, habría que preguntarse: ¿es esto bueno o malo? yo creo que es bueno pasar por este episodio problemático, en particular porque desde el problema de HeartBleed las miradas de todos están puestas en el desarrollo (y apoyo en consecuencia) de OpenSSL, así que creo que es el mejor momento para arreglar los problemas que pueda tener esta librería tan usada por todos.

Científicos extraen llave RSA-4096 usando sonido de CPU

Análisis acústico de RSA

¿Quién lo diría? algunos “iluminados” habían dicho que con los avances en ramas como la computación cuántica, pronto sería trivial romper algoritmos como RSA (que toma su nombre de las iniciales de los apellidos de sus creadores, Ron Rivest, Adi Shamir y Leonard Adleman), un popular algoritmo de llave pública que basa su seguridad en el hecho de que es computacionalmente difícil factorizar el producto de dos números primos grandes. Pero, al igual que los kaijus en Pacific Rim, el ataque no vino de donde se pensaba, sino de un ataque mucho más simple, un humilde ataque lateral, como se les conoce. En este ataque, basta un teléfono relativamente moderno a 30 centímetros de distancia o bien un micrófono (de diseño especial) a 4 metros. Entonces, analizando los sonidos emitidos por el CPU del equipo, estos pueden extraer una llave RSA-4096, usando una implementación en particular, la de GnuPG. Vale la pena aclarar que es precisamente este sonido o acústica que analizan y de donde viene, porque en ningún artículo lo he visto descrito adecuadamente. Directo del paper donde publican el estudio, “la señal de interés acústica viene de la vibración de los componentes electrónicos (capacitores y bovinas en el circuito de regulación de voltaje, al tratar de suministrar suficiente voltaje al CPU, a pesar de las grandes fluctuaciones de consumo de energía causadas por diferentes patrones de uso de CPU. Esta señal relevante NO es causada por componentes mecánicos como los ventiladores o el disco duro, ni el speaker de una laptop.” Como pueden ver, se refieren a los sonidos distintivos que hace el hardware cuando está trabajando. Lo primero que pensé es que era una broma, hasta que vi que el mismo Adi Shamir es uno de los autores del paper.

Ahora bien, hay que dimensionar este descubrimiento: no quiere decir que RSA esté roto, ni es razón para entrar en pánico. A decir verdad, leyendo el paper veo que se deben de dar ciertas condiciones para que este ataque funcione, lo cual no es totalmente imposible pero si puedo decir que es poco probable que suceda. Así que no es el gran drama en el que algunos han querido convertir este descubrimiento.

Cabe mencionar también que igual hay otros vectores de ataque: por ejemplo, si el atacante pudiera tocar la computadora, las cosas se le facilitan, pues podrían medir el potencial eléctrico y en base a este análisis extraer las llaves…por supuesto que son pocas las palabras y suena fácil, pero igual requiere cierto rigor detrás del estudio. Pero el hecho es que el ataque está ahí, se puede dar de manera acústica o bien por un perfil eléctrico, y es bastante real. Por ahora, los que manejan este algoritmo tendrán que ver formas de reducir y/o confundir la huella acústica de la implementación del mismo, para tratar de contrarrestar estos ataques. Arriesgándome a ir más allá de mis límites, pienso en que podrían usar componentes adicionales para producir ruido blanco en las mismas frecuencias que analizan de modo que se “ensucien”, para que así fuera imposible atacarlas.

Les dejo el enlace al paper por si quieren leerlo.

Último recurso de Microsoft para que dejes Windows XP: el miedo

Papel tapiz viejo de XP (por manoluv)

Parece más una maldición para Microsoft que otra cosa, pero impresionantemente la empresa de Redmond no logra que muchos usuarios se desprendan de Windows XP: todavía es la segunda versión más popular con 37.2% de los escritorios, siendo Windows 7 la primera con 44.5% del total de PC’s instaladas. Y hay que ver que ya intentaron de todo, pero hasta hoy todas esas medidas han sido poco efectivas. Ahora Microsoft está intentando otra cosa: meterle miedo a los usuarios que quedan de XP. ¿Cómo? fácil, con los parches de seguridad. Microsoft está jugando la carta de que, después del 8 abril de 2014, que es cuando se termina el soporte de Windows XP, la empresa básicamente le estará dando la información de las vulnerabilidades a los atacantes, dejando a XP en un estado de vulnerabilidad “zero-day” permanente. Mucha gente se ha confundido con estas declaraciones, y ciertamente hay que explicarlas: el argumento es que después que se termine el soporte, seguirán produciendo parches para las versiones activas menos para XP; entonces los malandros tomarán los parches, les aplicarán ingeniería inversa y podrán determinar que vulnerabilidad buscan parchar, e irán a fastidiar a XP; en pocas palabras, Microsoft les estará diciendo como atacar a XP, sin “quererlo” claro, pero el efecto será el mismo: XP será tierra de nadie, y muy seguramente esto sea el clavo en el ataúd de este sistema operativo que tiene 12 años en PC’s y otros dispositivos.

Por supuesto, seríamos muy inocentes si pensáramos que Microsoft hace esto porque le importe la seguridad de los usuarios: lo hace porque según cálculos el mercado de actualización repreenta una oportunidad de unos USD $12 mil millones, lo cual es una cifra nada despreciable, en particular si tenemos en cuenta todo el efectivo que ha sangrado Microsoft por el tema del fiasco de la tablet Surface, principalmente.

Microsoft tendrá que enfrentar 3 escenarios como yo lo veo: los que saben como les irá y ni así se quieren cambiar; los que no tienen ni idea que tienen que actualizarse (los hay y muchos, créanme ), y por último aquellos con necesidades especiales (de usar XP por alguna razón ); un muy probable cuarto caso serán aquellos que saben que tienen que cambiarse y les importa un bledo. En todos los casos excepto el anterior, Microsoft tendrá que usar más que el miedo para hacer que se cambien de versión. Y como usuario les digo, si entre ustedes queda alguno que use XP todavía, como ya he dicho muchas veces antes, es hora de dejarlo ir. Simplemente ya no vale la pena usarlo.

Red anónima TOR comprometida con exploit JavaScript en FireFox

Logo de red TOR

El día de ayer se supo que arrestaron a Eric Eoin Marques, el dueño de la compañía proveedora de hosting FreedomWeb, misma que provee servicios “ocultos” gracias a la red anónima TOR (The Onion Router); cabe mencionar que las acusaciones contra Marques son de facilitar la distribución de pornografía infantil, así que no están jugando con esta detención. Sin embargo, posterior al arresto muchos usuarios de la red TOR reportaron que su navegador TOR, una versión de FireFox algo más cerrada y que usa esta red por default, estaba infectada por un script malicioso con JavaScript cuya función era eliminar el anonimato que esta provee; por el momento se especula que el mismo FBI fue quién plantó dicho malware en el navegador. Y también vale la pena mencionar que no sólo el navegador está infectado, sino que se ha encontrado este código en varios servicios ocultos de la red TOR. Por el momento se sabe a ciencia cierta que el bundle para Windows está infectado con este malware, y a pesar de que explotan una vulnerabilidad que está presente en varias plataformas, el código de ataque es específico de Windows. Los usuarios de este bundle bajo Linux y OS X y también los usuarios de sistemas LiveCD están a salvo de esto.

Por ahora las mejores medidas contra esta vulnerabilidad son usar los paquetes actualizados del Tor Browser Bundle, que son la 2.3.25-10 (liberada el 26 de junio del 2013), la 2.4.15-alpha-1 (liberada el 26 de junio del 2013), la 2.4.15-beta-1 (liberada el 8 de julio del 2013), o la 3.0alpha2 (liberada el 30 de junio del 2013); así mismo, el Proyecto TOR sugiere alejarse de Windows, y deshabilitar JavaScript por el momento.

Otra vulnerabilidad en Android, mismo FUD de la prensa

Letrero de FUD

Investigadores de BlueBox Labs encontraron una nueva vulnerabilidad en Android que dicen está presente desde la versión Donut (1.6), y que al día de hoy sigue sin parcharse y que afectaría al 99% de los teléfonos con Android; por ahora BlueBox se reserva la información y la presentará en las conferencias de seguridad Black Hat que se llevarán a cabo en Las Vegas. La vulnerabilidad consiste en atacar un APK directamente y modificarlo sin romper la firma digital que lo identifica como válido, lo que significa que pueden crear aplicaciones con malware fácilmente y entrar a tu teléfono. Como han acostumbrado últimamente en muchos blogs prominentes, los encabezados son bastante alarmistas, exactamente como el final del párrafo anterior (escrito de esa forma adrede );  para que esto funcione, de nuevo y discúlpenme si parezco disco rayado, tienen que tener habilitada la opción de instalar aplicaciones de terceros para que de esta forma no te confines a la tienda Play de Google y descargues lo que quieras de donde quieras. Y no estoy diciendo que la Google Play Store sea 100% infalible (de hecho no lo es), pero si es el método más seguro de obtener aplicaciones que pasan su validación. Y ojo, no es propio de Android, pues también pasa particularmente con antivirus: ¿cuántos anuncios de falsos antivirus y utilerías anti-malware has visto? y apuesto a que no has bajado ninguno…pues el caso de las apps son lo mismo: descárgalas de la fuente oficial y estarás 99.9% a salvo. :D

Page 1 of 6

Powered by WordPress & Theme by Anders Norén